• 發布單位:TWCERT/CC
• 更新日期:2023-07-11
• 點閱次數:126

美國資安最高主管機關「網路安全暨基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA）近日發布命令，要求美國聯邦政府旗下各單位立即修補一個高危險的 ARM Mali GPU 核心驅動程式執行權限提升漏洞。

CISA 通令修補的漏洞為 CVE-2021-29256，是一個「釋放後使用」（use-after-free）漏洞，駭侵者可操弄受攻擊 Android 系統上的 GPU 記憶體，誘發這個漏洞來提升自身執行權限到最高的 root 等級，即可存取各種裝置上的機資訊。

CVE-2021-29256 的 CVSS 危險程度評分高達 8.8 分（滿分為 10 分），危險程度評級為「高」（High）；CISA 是在 2023 年 7 月 28 日將這個漏洞列入「已知遭濫用漏洞列表」（Known Exploited Vulerabilities Catalog，KEVC）之中。

依 CISA 規定，任何美國聯邦政府旗下單位，都應在新漏洞列入 KEVC 清單後限期應對，包括進行資安修補或其他防範措施，以防止遭駭侵者利用該漏洞發動攻擊。以這個 CVE-2021-29256 而言，美國聯邦政府旗下單位最遲應在 7 月 28 日之完成相關系統的漏洞修補作業。

CVE-2021-29256 早在 2021 年 3 月 26 日由 ARM 推出更新。Google 於 2023 年 7 月發表的 Android 安全公告中，則提到該漏洞可能已經遭到駭侵者用於攻擊。

雖然 CISA 發表的 KEV 資安更新通令僅對美國聯邦政府旗下單位有約束力，但建議各公私單位依照 CISA 通報進行各種系統的資安更新。